Was fehlt mir noch?

[rhona]

Moin,
da ich auch wieder mal nen Server neu aufsetze wollte ich mal hören was mir u.U. noch fehlt.

Am Ende soll stehen: Sicherer server mit lighttpd, mysql, php5 als fastcgi

Gemacht habe ich bis jetzt:

- /etc/passwd alle unnoetigen user raus, alle user dies nicht brauchen shell auf /bin/false
- SSH Access nur per keyfile, keyfiles alle per Passphrase gesichert
- SSH auf anderen port
- SSH rootlogin verboten
- fail2ban drauf + Grundkonfiguration
- Bei rootlogin automatisch Mail, aufs Handy
- Cron mit chkrootkit report per mail
- system is up to date

Soll noch gemacht werden:
- Suhosin drauf (PHP Sicherheit)
- webbackends alle nur per localhost abrufbar (SSH tunnel)
- fail2ban weitergehend konfigurieren
- auth.log per cron verschicken
- tripwire drauf mit automatischer Mailbenachrichtigun aufs handy
- lighty in ner chroot umgebung einrichten
- gemailte logs automatisch greppen und ggf. warnung rausschicken

Das die logmail crons, bei einem bereits übernommenen System nicht viel bringen, ausser gegen kiddies ist mir klar. Aber immerhin etwas.

Fragen:
Fehlt noch was wichtiges / elementares?
brauch www-data shell zugriff? afaik nein oder irre ich?

Bitte um Feedback
rhona

[Joe User]

fail2ban ist IMHO sinnfrei, der Rest passt und ist für einen privat genutzten Server völlig ausreichend. Am Wichtigsten sind grundsätzlich zeitnahe Updates aller Pakete und insbesondere aller WebApps unabhängig davon, ob Sicherheitslücken geschlossen wurden, da nicht alle Sicherheitslücken in den Changelogs genannt werden.

Der Webserver-User benötigt keinen Shellzugriff.